Suchen

Expertentreffen HMI 2019

Nachbericht: Themencamp Security

| Redakteur: Sebastian Human

Auch auf der diesjährigen Hannover Messe veranstalteten wir unser Expertentreffen mit verschiedenen Themencamps, um abseits der virtuellen Vernetzung auch einmal persönliche Fachgespräche zu ermöglichen. Im Themencamp Security trafen vier digitale Sicherheitsexperten aufeinander.

Firmen zum Thema

Das Expertentreffen im Rahmen der Hannover Messe 2019.
Das Expertentreffen im Rahmen der Hannover Messe 2019.
(Bild: Vogel Communications Group)

Noch bevor die Plätze so richtig eingenommen waren, waren die Teilnehmer des Themencamps Security bereits in regen Austausch miteinander getreten. Kein Wunder, angesichts der hohen Relevanz des Themas ist schließlich jede Gelegenheit, mit Gleichgesinnten in Diskurs zu treten, wertvoll. Dementsprechend schnell waren dann aber auch die Plätze eingenommen und ein abwechslungsreicher Austausch zur aktuellen "Security-Lage der Nation" sollte beginnen. Zu Gast am runden Tisch waren insgesamt vier Experten mit verschiedenen thematischen Schwerpunkten im Umfeld von IoT-Sicherheit.

Die Experten

Die vermutlich weiteste Anreise hatte Raphael Vallazza, Gründer und CEO des Südtiroler Security-Herstellers Endian. Dessen Schwerpunkt liegt vor allem auf dem Thema Netzwerksicherheit in Form eines Open Source Unified Threat Management Systems und einem Plädoyer für ein ganzheitliches Konzept für IT-Security im IIoT. Zu seiner Rechten saß mit Stephan Schulz von F5 Networks ein Fachmann für Applikations- und IT-Sicherheit. Der Senior Systems Engineer Security blickt auf mehr als 16 Jahre Erfahrung aus den verschiedensten Bereichen der IT zurück. Neben ihm fand sich Jörg Kretzschmar von Contechnet ein, der den Kreis mit seinem Fachwissen zu Informationssicherheit, IT-Notfallplanung und Datenschutz bereicherte. Vervollständigt wurde das Quartett von Frank Limberger. Der Data and Insider Threat Security Specialist von Forcepoint befasst sich vor allem mit der sicheren Vernetzung von Betriebs- und Produktionsmitteln.

Bildergalerie

Bildergalerie mit 5 Bildern

Sorgenkind Security

Nachdem jeder der Gesprächsteilnehmer noch mal die eigenen Betätigungsschwerpunkte dargelegt hatte, kristallisierte sich schnell eine zentrale Fragestellung heraus: Warum verhält sich die deutsche Industrie beim Thema Cybersecurity so zögerlich?

Noch immer wird die IT-Sicherheit in vielen Unternehmen vernachlässigt, obwohl in modernen Produktionsanlagen die Gefahr von Cyberattacken enorm hoch ist. Denn immer mehr Maschinen sind bereits untereinander vernetzt und so vielfältig wie die vernetzten Anlagen sind auch die Angriffsszenarien – von Spionage bis hin zu Sabotage. Und auch wenn das nur ein schwacher Trost ist: laut Herrn Vallazza wird das Thema trotz aller offensichtlichen Relevanz in Italien ebenso stiefmütterlich behandelt wie in Deutschland. Einer der meistgenannten Gründe – und hier sind sich die Experten einig – liegt in einer (zu) starken Fokussierung auf das Kerngeschäft. Über den Anspruch, alle Energie in das eigentliche Produkt oder die Dienstleistung zu investieren, geraten allzu oft Sicherheitsaspekte aus dem Blick. Argumentationen im Stil von „Wir sind doch für Cyberkriminelle gar nicht interessant.“ oder „Das ist doch alles nur Panikmache!“ begegnen Security-Fachleuten noch immer häufig. Schnell ist sich die Runde daher einig, dass sich Lerneffekte leider häufig erst mit tatsächlichem Schaden einstellen.

Gemeinsam erinnert sich das Quartett in diesem Moment an die Geschichte, die der Gründung einer der heute bekanntesten technischen Prüforganisationen im Jahre 1866 vorausging: Im zeitlichen Kontext der ersten industriellen Revolution und der damit verbundenen zunehmenden Verbreitung und Leistungsfähigkeit der Dampfmaschinen gipfelte eine Reihe von Unfällen in der Explosion eines Dampfkessels der Mannheimer Aktienbrauerei. Die Gründung der „Dampfkessel-Überwachungs- und Revisions-Vereine“ (DÜV), der Vorläufer des heutigen TÜV, war die Reaktion auf das tragische Ereignis, das vier Verletze und einen Toten forderte. Und auch wenn dieser Tage erste Stimmen laut werden, die einen TÜV für IoT-Sicherheit fordern, besteht noch eine andere potenzielle Bedrohung.

Die Gefahr von Insider Threats darf ebenfalls nicht unterschätzt werden, wie Herr Kretzschmar und Herr Limberger betonen. Technisch bestehen ausreichende Möglichkeiten – beispielsweise durch automatisierte Anomalieerkennung –, um dem ungewollten Abwandern von sensiblen Unternehmensdaten Einhalt zu gebieten. Und auch wenn es daran vielerorts noch mangelt, das Problembewusstsein scheint hier langsam aber sicher zu wachsen.

Bewusstsein schaffen

Dennoch konzentriert sich gegenwärtig ein überwiegendes Maß an Security-Investitionen – wenn sie denn überhaupt getätigt werden – auf externe Bedrohungen. Die Expertenrunde konstatiert: je weniger sichtbar eine Bedrohung ist, desto weniger Aufmerksamkeit bekommt sie. Dabei verhält es sich hier wie mit dem vielzitierten Eisberg: ein Großteil des Gefährdungspotenzials lauert „unter Wasser“. Und auch wenn keinerlei kriminelle Absichten im Spiel sind, nicht selten ermöglichen Mitarbeiter unwissentlich oder unbeabsichtigt Zugriff auf empfindliche Firmendaten. Bereits durch einen unbedachten Gebrauch von firmeninternen Datenträgern – was keine Seltenheit ist – können Unberechtigte betriebliche Informationen einsehen, manipulieren oder stehlen. An dieser Stelle bedarf es eines Umdenkens bei den Verantwortlichen, der Etablierung neuer Sicherheitsstandards sowie eines gelebten Top-Down-Ansatzes, um digitalen Bedrohungen gewappnet gegenüber zu treten – und das besser heute als morgen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45922915)